• IT-Karriere:
  • Services:

JSFuck: Esoterischer Javascript-Stil ermöglicht XSS bei Ebay

Die XSS-Filter von Ebay lassen sich mit Hilfe eines zu Lernzwecken erstellten Javascript-Stils überlisten, um fremden Code auszuführen. Ebay will den Fehler nur halbherzig beheben. Der Entwickler von JSFuck zeigte sich im Gespräch mit Golem.de überrascht von dem Szenario.

Artikel von veröffentlicht am
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen.
Mit Hilfe von maskiertem Javascript-Code könnten Angreifer Phishing-Angriffe auf Ebay-Nutzer durchführen. (Bild: Checkpoint)

Die Sicherheitsfirma Checkpoint hat heute, Dienstag, ein Angriffsszenario vorgestellt, mit dem Händler auf Ebay ihren Kunden bösartigen Javascript-Code unterschieben könnten, um damit Phishing-Angriffe oder andere Aktionen auszuführen. Das Problem liegt in der Art und Weise, wie Ebay aktive Code-Elemente prüft - und in einem esoterischen Programmierstil für Javascript.

Stellenmarkt
  1. BG BAU- Berufsgenossenschaft der Bauwirtschaft Hauptverwaltung, Berlin
  2. AssetMetrix GmbH, München

"Mit dem Ebay-Angriff können Cyberkriminelle Nutzer auf einfache Art ins Visier nehmen: Sie führen den Angriff aus, indem sie einen Link zu einem hochattraktiven Produkt senden. Die hauptsächliche Bedrohung sind die Verbreitung von Malware und das illegale Kopieren persönlicher Informationen", sagte Oded Vanunu, Leiter der Sicherheitsforschungsgruppe bei Checkpoint, im Gespräch mit Golem.de.

Die Sicherheitsforscher von Checkpoint haben für ihren theoretischen Angriff JSFuck benutzt. Mit JSFuck können Javascript-Befehle mit Hilfe von nur sechs verschiedenen Symbolen dargestellt werden. Diese sind !, [, ], +, (, und ). Das False-Kommando wird zu ![], die Ziffer 10 zu [+!+[]]+[+[]]. Eine vollständige Liste findet sich bei Github. Auf der Webseite von JSFuck kann bestehender Code mit Hilfe eines Tools einfach umgewandelt werden. Mit diesem umgewandelten Code konnten die Forscher dann bösartigen Javascript-Code von einem von ihnen kontrollierten Server laden - und könnten damit zum Beispiel Phishing-Angriffe mit Overlay-Fenstern durchführen. Der Angriff soll auf dem Desktop, aber auch in den Ebay-Apps für Android und iOS funktionieren.

JSFuck war nur als Hobbyprojekt gedacht

Das Projekt wird auf der Webseite als esoterischer Programmierstil bezeichnet, der nur zu Schulungszwecken und aus Spaß am Herumprobieren entwickelt wurde. Initiator Martin Kleppe sagte im Gespräch mit Golem.de: "Mit JSFuck wollte ich eigentlich nur zeigen, dass Javascript mit nur sehr wenigen unterschiedlichen Zeichen geschrieben werden kann." Kleppe zeigte sich überrascht darüber, dass mit JSFuck konvertierter Javascript-Code jetzt eingesetzt wurde, um die Entdeckung aktiver Elemente durch XSS-Filter zu umgehen.
Mit Hilfe von JSFuck haben die Sicherheitsforscher von Checkpoint nach eigenen Angaben Javascript-Code erzeugt, der von Ebays Filtermechanismen nicht entdeckt wird. Normalerweise zeigt der Online-Händler eine Fehlermeldung an, wenn Javascript-Elemente im HTML-Code der Händlerseite eingefügt werden. Checkpoint gibt an, Ebay bereits im Dezember auf die Untersuchungsergebnisse hingewiesen zu haben. Die beschrieben Sicherheitslücke wurde gefixt, eine generelle Abkehr von "aktive Inhalte" soll es jedoch nicht geben. Nach Veröffentlichung des Blogposts habe Ebay aber nun die zu Testzwecken angelegten Testkonten gesperrt, sagte ein Checkpoint-Vertreter im Gespräch mit Golem.de.

Nachtrag vom 4. Februar 2016, 9:26 Uhr

Ebay hat sich mittlerweile zu dem Vorfall geäußert. In einem von Ars Technica veröffentlichten Statement schreibt das Unternehmen: "Wir waren mit den Forschern in Kontakt und haben verschiedene, auf ihren Untersuchungsergebnissen basierende Filter installiert, die diesen Exploit entdecken würden." Nicht näher spezifizierten "aktiven Content" solle es aber auch weiterhin auf Ebay geben - Sicherheitsvorfälle damit würde es äußerst selten geben, schreibt das Unternehmen. Wir haben den Text an die neue Sachlage angepasst.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de
  2. (reduzierte Überstände, Restposten & Co.)

My1 15. Feb 2016

rainbow table ist durchaus schön aber wenn man 4 zufällige worte aus einer bekannten 2048...

My1 15. Feb 2016

JSFuck basiert auf der sehr laxen automatischen Typenumwandlung was es halt erlaubt das...

cpt.dirk 12. Feb 2016

Dazu ist niemand verpflichtet, es können sehr einfach Skripte je externer Domain separat...

crazypsycho 05. Feb 2016

Das script-Tag rauszufiltern ist technisch auf Serverseite überhaupt kein Problem. PHP...

crazypsycho 03. Feb 2016

Das mit bgcolor könnte man ja noch mit abwärtskompatiblität zu Uralt-Browser erklären...


Folgen Sie uns
       


Doom Eternal - Test

Doom Eternal ist in den richtigen Momenten wieder eine sehr spaßige Ballerorgie, wird aber an einigen Stellen durch Hüpfpassagen ausgebremst.

Doom Eternal - Test Video aufrufen
Bluetooth-Hörstöpsel mit ANC im Test: Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen
Bluetooth-Hörstöpsel mit ANC im Test
Den Airpods Pro hat die Konkurrenz nichts entgegenzusetzen

Die Airpods Pro haben neue Maßstäbe bei Bluetooth-Hörstöpseln gesetzt. Sennheiser und Huawei ziehen mit True Wireless In-Ears mit ANC nach, ohne eine Antwort auf die besonderen Vorzüge des Apple-Produkts zu haben.
Ein Test von Ingo Pakalski

  1. Googles Bluetooth-Hörstöpsel Pixel Buds 2 mit Echtzeitübersetzung kosten 200 Euro
  2. Bluetooth-Hörstöpsel Google will Klangprobleme beseitigen, Microsoft nicht
  3. Bluetooth-Hörstöpsel Aldi bringt Airpods-Konkurrenz für 25 Euro

Staupilot: Wie deutsche Hersteller beim autonomen Fahren rumeiern
Staupilot
Wie deutsche Hersteller beim autonomen Fahren rumeiern

Vom kommenden Jahr an dürfen erstmals selbstfahrende Autos in Deutschland unterwegs sein. Doch kein Hersteller verspricht ein konkretes Produkt.
Eine Analyse von Friedhelm Greis

  1. Hochautomatisiertes Fahren UN beschließt Vorgaben für Staupiloten
  2. Auto BMW und Daimler beenden Kooperation zum autonomen Fahren
  3. Autonomes Fahren Entwickler baut selbstfahrendes Auto für GTA V

Alloy Elite 2 im Test: Voll programmierbare Tastatur mit Weihnachtsbaumbeleuchtung
Alloy Elite 2 im Test
Voll programmierbare Tastatur mit Weihnachtsbaumbeleuchtung

HyperX verbaut in seiner neuen Gaming-Tastatur erstmals eigene Schalter und lässt der RGB-Beleuchtung sehr viel Raum. Die Verarbeitungsqualität ist hoch, der Preis angemessen.
Ein Test von Tobias Költzsch

  1. Ergonomische Tastatur im Test Logitech erfüllt auch kleine Wünsche
  2. Keyboardio Atreus Programmierbare ergonomische Mini-Tastatur für unterwegs
  3. Keychron K6 Kompakte drahtlose Tastatur mit austauschbaren Switches

    •  /